Сервер - 2008 R2
Клиент - Win 7 Pro x64
Задача: запретить пользователям домена устанавливать приложения на своих рабочих станциях. Для этого в групповой политике включил " требовать повышение прав при установке программ" в конфигурации программ и в кон-ии пользователя. Политика приминилась, однако результата это не дало: на рабочей станции логинимся под пользователем, запускаем установку из *.msi , она начинается, потом просто выскакивает окошко UAC о том что для установки требуются администраторские права, я нажимаю да - и установка успешно завершается. Мне это не нужно. Мне нужно чтобы пользователь не мог устанавливать ПО , а администратор на этой же рабочей станции мог это делать ( просто залогинившись админом, или из под юзера командой Run As Admin в меню) . Что я делаю не так ? Спасибо

ну как бы уберите пользователя из группы "локальные Администраторы"

Клиент - Win 7 Pro x64 »
Зайдите под пользователем на машину и покажите вывод команды whoami /all.

Пользователи домена и без того не могут устанавливать приложения уже по умолчанию. Тут даже не столько убирать их из группы Администраторов нужно, сколько немедленно провести расследование, как они могли в той группе оказаться вообще. Хуже и придумать нельзя, разве только привилегии Доменного администратора им выдать. И сразу застрелиться.

WindowsNT, только паниковать не надо.............

exo, полагаю, это никакая не паника. Просто здравый смысл и опыт.

Просто здравый смысл и опыт. »
И сразу застрелиться. »

exo, напоминаю чужой опыт: умные учатся на своих ошибках, а мудрые — и на чужих ;).

чужой опыт»
И сразу застрелиться »
я встречал компанию, где все пользователи были админами домена. Без расстрела, спокойно всё было приведено в порядок.
Ни какого криминала во время владениями правами совершено не было. я по этому и написал - без паники! Это лишняя трата нервов.

и п.с. хуже придумать можно ;) права "администратор предприятия".

я встречал компанию… »
Участью прежнего администратора не поинтересовались ;)?

Убрал пользователя из группы локальных администраторов, сейчас он вообще ни в каких группах не состоит, но это не помогло, я залогинился снова но ничего не изменилось, я все также могу устанавливать программы и изменять системные настройки, реестр и т.п.

Команда whoami /all
C:\Users\user>whoami /all

Сведения о пользователе
----------------

Пользователь SID
============ ==============================================
DOMEN\user S-1-5-21-2983157150-4111312625-4067196217-1119


Сведения о группах
-----------------

Группа Тип SID
Атрибуты
=============================================== ======================= ========
==== =============================================================
Все Хорошо известная группа S-1-1-0
Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Администраторы Псевдоним S-1-5-32
-544 Группа, используемая только для запрета
BUILTIN\Пользователи удаленного рабочего стола Псевдоним S-1-5-32
-555 Обязательная группа, Включены по умолчанию, Включенная группа
BUILTIN\Пользователи Псевдоним S-1-5-32
-545 Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\ИНТЕРАКТИВНЫЕ Хорошо известная группа S-1-5-4
Обязательная группа, Включены по умолчанию, Включенная группа
КОНСОЛЬНЫЙ ВХОД Хорошо известная группа S-1-2-1
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Прошедшие проверку Хорошо известная группа S-1-5-11
Обязательная группа, Включены по умолчанию, Включенная группа
NT AUTHORITY\Данная организация Хорошо известная группа S-1-5-15
Обязательная группа, Включены по умолчанию, Включенная группа
ЛОКАЛЬНЫЕ Хорошо известная группа S-1-2-0
Обязательная группа, Включены по умолчанию, Включенная группа
Обязательная метка\Средний обязательный уровень Метка S-1-16-8
192 Обязательная группа, Включены по умолчанию, Включенная группа


Сведения о привилегиях
----------------------

Имя привилегии Описание Область
, край
============================= ========================================== =======
======
SeShutdownPrivilege Завершение работы системы Отключе
н
SeChangeNotifyPrivilege Обход перекрестной проверки включен

SeUndockPrivilege Отключение компьютера от стыковочного узла Отключе
н
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключе
н
SeTimeZonePrivilege Изменение часового пояса Отключе
н


СВЕДЕНИЯ ОБ УТВЕРЖДЕНИЯХ ПОЛЬЗОВАТЕЛЯ
-------------------------------------

Утверждения пользователя неизвестны.

Поддержка динамического контроля доступа Kerberos на этом устройстве отключена.

C:\Users\user>

Убрал пользователя из группы локальных администраторов, »
А вывод whoami говорит что пользователь входит в группу локальных Администраторов:
BUILTIN\Администраторы Псевдоним S-1-5-32 »
Может у Вас политики настроены которые добавляют пользователей в группу локальных Администраторов??

А вывод whoami говорит что пользователь входит в группу локальных Администраторов: »
Все , отбой, вроде разобрался.. Я редактировал членство в группах для пользователя через оснастку "локальные пользователи и группы" ( lusrmgr.msc ), сейчас же изменил уровень доступа в Панель управления\Учетные записи пользователя с администратора на пользователя и все заработало ....

Честно говоря мне не совсем понятна логика всего этого, ну да ладно, главное что проблема решена...

Несколько слов о том как пользователь оказался в группе администраторов: раньше раб.станция не была в домене и пользователь был локальным администратором, после ввода в домен я воспользовался программой ProfWiz , если вкратце - для того чтобы при вводе в домен на компьютере не создавался новый профиль доменного юзера эта программа просто конвертирует старый локальный профиль в профиль доменный, не перемещая никуда файлы пользователя.

Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ?

sigmatik, может, настроить политики UAC?

Участью прежнего администратора не поинтересовались »
а его даже не было. Им нужен был домен, кто-то им его "настроил". Возможно просто пару раз приехав.
Я пытался узнать кто настраивал, т.к. была только одна идея - но ничего не сказали. Вторая идея - сам директор.
Что забавно, принтер и диски там подключались по логон скрипту. В 2008 R2 ! Дата создания скрипта - 1999 год.
там было много ещё каких "интересностей".

sigmatik, может, настроить политики UAC? »
что именно вы имели ввиду?

что именно вы имели ввиду? »
Один вопрос - Для установки По и изменения системных настроек система требует повышения прав, а вот при запуске regedit этого не происходит. Как бы не порядок, как исправить ? »
При запуске regedit не выводится окно UAC, а сразу появляется редактор реестра? Это и привело меня к мысли, что либо UAC отключен, либо выставлен на "слабые" настройки.
Почему запуск regedit от имени пользователя это "как бы не порядок"? Ведь при настройках по умолчанию пользователь может открыть редактор и производить запись в ветку HKCU.
Или ваша цель — закрыть доступ к редактированию реестра?

акрыть доступ к редактированию реестра? »
Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется?

Да, имхо не правильно что пользователь может вносит изиенения в реестр, вам так не кажется? »
Для запрета доступа к редактору реестра можете воспользоваться групповой политикой:Управление групповой политикой->Конфигурация пользователя->Административные шаблоны->Система->Запретить доступ к средствам редактирования реестра==Включено.

Dear sigmatik,
Судить о правильности/неправильности следует, лишь изучив вопросы безопасности и работоспособности системы. Систему Windows проектировали умные люди, и они лучше нашего с вами знают, кому что менять в реестре можно, а кому — нельзя.

Все ключи реестра имеют свои разрешения (Permissions) аналогично разрешениям NTFS. То, что вы делаете, запрещая редактор реестра — не более, чем фикция. Командой REG /? я могу сделать гораздо больше, чем редактором.

Основополагающее в безопасности реестра — членство в группах безопасности. Если не заниматься самоубийством, выдавая пользователям права Администратора, никто ничего в реестре не сломает.

Отключение UAC эту ситуацию даже улучшает, ибо UAC занимается эмуляцией системного реестра для пользователя, тем самым разрешая пользователю якобы писать в системный реестр. По сути, это может разрешить вирусу "прописаться" в эмулируемом реестре. Не для всех, но для конкретного пользователя.